NIS2 + DORA: Prova de Identidade para Infraestruturas Críticas (PT-PT)

Duas regulamentações da UE estão a remodelar a forma como as organizações essenciais e financeiras se defendem. A NIS2 (segunda Diretiva relativa à Segurança das Redes e da Informação) eleva a linha de base da cibersegurança nos setores críticos e importantes — energia, transportes, saúde, infraestruturas digitais e outros. A DORA (Lei da Resiliência Operacional Digital) faz o mesmo especificamente para o setor financeiro, com um foco acentuado no risco das Tecnologias da Informação e Comunicação (TIC) e nos terceiros dos quais as entidades financeiras dependem.

Abordam o problema de ângulos diferentes, mas convergem nos mesmos controlos: saber quem tem acesso, provar identidades rigorosamente e gerir o risco introduzido pelos seus fornecedores. A prova de identidade está no centro dos três. Este artigo explica o que a NIS2 e a DORA exigem, por que a identidade é fundamental e como a Didit — tanto como motor de verificação quanto como fornecedor atestado — o ajuda a cumpri-las.

Principais conclusões

• A NIS2 exige medidas de gestão de risco, controlo de acesso forte e segurança da cadeia de abastecimento em setores essenciais e importantes.
• A DORA rege o risco das TIC nos serviços financeiros, incluindo um registo de fornecedores de TIC terceirizados e uma gestão rigorosa do risco do fornecedor.
• Ambos os regimes dependem fortemente da prova de identidade e controlo de acesso — não se pode proteger um sistema sem respostas fidedignas à pergunta "quem é esta pessoa?".
• A Didit fornece prova de identidade de alta garantia — verificação de documentos, NFC, vivacidade, correspondência biométrica facial — para o onboarding de funcionários, contratados e clientes de alto valor.
• Como terceiro de TIC, a Didit reduz a sua carga de risco de fornecedor com atestações concretas: SOC 2 Tipo 1 (ATOM, a partir de 09-04-2026), ISO/IEC 27001:2022 (Bureau Veritas, cert nº ES144068, válido até 03-06-2027) e iBeta Nível 1 PAD.
• Registos de auditoria acionados por webhook (status.updated, data.updated) fornecem a evidência que ambos os regimes esperam.

O que as regras exigem

A NIS2 alarga o âmbito da diretiva original a muito mais setores e reforça as obrigações. Entre os seus requisitos centrais: medidas de gestão de risco de cibersegurança proporcionais ao risco, tratamento e comunicação de incidentes, planeamento da continuidade de negócios e — crucial para a identidade — políticas de controlo de acesso, o uso de autenticação multifator ou contínua onde apropriado, e segurança da cadeia de abastecimento que contemple a segurança de fornecedores diretos e prestadores de serviços. Os órgãos de gestão são responsáveis, e as autoridades de supervisão podem atuar quando os controlos falham.

A DORA foca-se nas entidades financeiras e na sua resiliência a interrupções das TIC. Estabelece requisitos em cinco pilares: gestão de risco das TIC, comunicação de incidentes, testes de resiliência operacional digital, partilha de informações e gestão de risco de terceiros das TIC. Este último pilar é o que afeta todos os fornecedores: as entidades financeiras devem manter um registo de informações sobre todos os acordos de TIC com terceiros, avaliar o risco que um fornecedor introduz antes e durante o relacionamento, e garantir que as disposições contratuais e de supervisão estão em vigor. Controlos de identidade e acesso robustos sustentam os pilares de gestão de risco e de testes de resiliência.

O denominador comum: não é possível demonstrar resiliência operacional ou segurança da rede se não conseguir estabelecer de forma fiável a identidade — das pessoas que acedem aos sistemas e dos fornecedores na sua cadeia.

Por que é importante

A infraestrutura crítica é exatamente onde os atacantes se concentram, porque o raio de impacto é maior. A NIS2 e a DORA existem porque os reguladores observaram incidentes num único fornecedor que se transformaram em interrupções, violações e risco sistémico. As penalidades refletem isso: multas significativas, responsabilização da gestão e intervenção supervisora.

Especificamente para a identidade, dois modos de falha recorrentes. Primeiro, prova fraca — permitir que uma identidade fraudulenta ou personificada passe pelo onboarding ou recuperação de conta, o que se torna uma falha de controlo de acesso mais tarde. Segundo, risco de terceiros não gerido — depender de um fornecedor (como um provedor de identidade) cuja própria postura de segurança não pode ser comprovada. Ambos os regimes forçam a fechar essas lacunas e a manter registos que comprovem que o fez.

Como a Didit ajuda

A Didit aborda ambos os lados da equação de identidade sob a NIS2 e a DORA.

Como sua camada de prova de identidade:

• Verificação de alta garantia para o onboarding de clientes, funcionários e contratados: verificação de documentos em mais de 14.000 tipos de documentos (0,15 €), leitura de chip NFC (0,15 €), vivacidade passiva (0,10 €) e ativa (0,15 €), e correspondência facial 1:1 (0,05 €).
• Biometria resistente a ataques — Deteção de Ataques de Apresentação testada ao Nível 1 do iBeta (ISO/IEC 30107-3) com 0% de sucesso de ataque em 360 tentativas — o tipo de evidência em que as políticas de controlo de acesso devem assentar.
• Rastreio AML e sanções (0,20 €, mais de 1.300 listas) e monitorização contínua (0,07 €/utilizador/ano) onde as relações reguladas o exigem.
• Orquestração componível através do Construtor de Fluxos de Trabalho sem código, para que aplique controlos proporcionais ao risco.

Como um terceiro de TIC atestado — facilitando o seu registo DORA e as obrigações da cadeia de abastecimento NIS2:

• Atestação SOC 2 Tipo 1 pela ATOM, cobrindo Segurança, Disponibilidade e Confidencialidade, a partir de 09-04-2026 (relatório completo de uso restrito sob NDA).
• Certificação ISO/IEC 27001:2022 pela Bureau Veritas, cert nº ES144068, válida até 03-06-2027 — evidência distribuível de um sistema de gestão de segurança da informação certificado.
• Carta de conformidade iBeta Nível 1 PAD — distribuível, para garantia de controlo biométrico.

Estes fornecem os artefatos de que as suas equipas de compras e risco precisam ao avaliar a Didit como fornecedor no seu registo de terceiros de TIC.

Análise aprofundada: identidade no registo de terceiros da DORA

Nos termos da DORA, cada acordo com terceiros de TIC é incluído num registo de informações que o seu supervisor pode solicitar. Para cada fornecedor, espera-se que compreenda a função que suporta, a criticidade dessa função e o risco que o fornecedor introduz — apoiado por evidências.

Quando o fornecedor é o seu fornecedor de verificação de identidade, a evidência que procura é exatamente o que a Didit pode fornecer: uma atestação SOC 2 independente que descreve o design dos seus controlos, um certificado ISO/IEC 27001 que prova um sistema de gestão de segurança da informação, e um resultado biométrico iBeta que quantifica o desempenho anti-spoofing. Combine isso com o registo de auditoria da Didit acionado por webhook — eventos status.updated e data.updated que registam o ciclo de vida de cada verificação — e terá tanto a garantia ao nível do fornecedor para o registo quanto os registos ao nível da transação para testes de resiliência e investigação de incidentes.

Essa combinação transforma um fornecedor que poderia ser um item de risco num que encurta o seu ciclo de due diligence.

Casos de uso

• Bancos, IMIs e instituições de pagamento a avaliar o risco de terceiros de TIC da DORA para o seu stack de identidade.
• Prestadores de serviços de criptoativos no âmbito do setor financeiro da DORA.
• Operadores de serviços essenciais (energia, transportes, saúde, infraestruturas digitais) sob a NIS2 a reforçar o controlo de acesso e a segurança da cadeia de abastecimento.
• Prestadores de serviços geridos que devem comprovar a segurança das ferramentas de identidade que implementam para os clientes.

Perguntas frequentes

A NIS2 e a DORA aplicam-se às mesmas organizações?

Não exatamente. A NIS2 abrange entidades essenciais e importantes em muitos setores; a DORA abrange entidades financeiras e os seus fornecedores de TIC. Muitas organizações financeiras estão sujeitas a ambas, e os controlos sobrepõem-se fortemente.

A verificação de identidade é realmente exigida por estas regras?

As regras exigem controlo de acesso forte, gestão de risco e supervisão de terceiros. A prova de identidade fiável é fundamental para os três — não é possível aplicar controlo de acesso ou verificar os utilizadores de um fornecedor sem ela.

O que a Didit fornece para o registo de terceiros de TIC da DORA?

A Didit pode fornecer evidências SOC 2 Tipo 1, ISO/IEC 27001:2022 (cert ES144068) e iBeta Nível 1 PAD, além de registos de auditoria baseados em webhook — os artefatos de que a sua equipa de risco precisa para avaliar e documentar a Didit como fornecedor.

O SOC 2 da Didit é Tipo 1 ou Tipo 2?

É uma atestação Tipo 1 (design dos controlos a partir de 09-04-2026). Um exame Tipo 2 está planeado. O relatório completo é de uso restrito e partilhado sob NDA.

Posso obter o certificado ISO 27001 para partilhar internamente?

Sim — o certificado ISO/IEC 27001:2022 (Bureau Veritas, cert nº ES144068) é distribuível mediante solicitação.

Pronto para começar?

Veja as atestações e a postura de segurança da Didit no centro de confiança, explore o produto de Verificação de ID, e reveja os preços transparentes na página de preços. Quando estiver pronto, comece gratuitamente — 500 verificações KYC gratuitas todos os meses, com um fluxo de verificação principal a partir de 0,33 €.